雷锋网消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger 在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以利用它远程绕过身份验证程序,接管任何用户的账号。如果黑客愿意,他们连管理员的账号都能霸占。
OAM 不但支持多重身份验证(MFA),还能实现 Web 单点登录(SSO)。此外,会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全,方便用户安全的访问移动应用和外部云存储。不过,这样严密的防护依然存在漏洞。
这次发现的漏洞代号为 CVE-2018-2879,与 OAM 使用的一种有缺陷的密码格式有关。
“OAM 是甲骨文 Fusion Middleware 的组成部分之一,后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger 解释道。
“我们会通过演示证明加密实现的小特性是如何对产品安全造成实际影响的。只要利用了这一漏洞,我们就能制作任意的身份验证令牌来扮演任何用户,同时还能有效的破坏 OAM 的主要功能。”Ettlinger 说道。
Ettlinger 解释称,攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点,诱使该软件意外透露相关信息,随后利用这些信息冒充其他用户。
攻击者能组织一场填充攻击,使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本,想冒充谁就冒充谁。
“在研究中我们发现,OAM 用到的密码格式有个严重的漏洞,只要稍加利用,我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准,想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是,会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”
雷锋网(公众号:雷锋网)了解到,OAM 11g 和 12c 版本都受到了该漏洞的影响。
Ettlinger 去年 11 月就将该漏洞报告给了甲骨文,不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM,还是抓紧时间打补丁来封堵漏洞吧。
雷锋网Via. Security Affairs
| 相关下载 |
原标题:殷墟考古与甲骨学 今年是殷墟甲骨文发现120周年,殷墟甲骨文的重大发现在中华文明乃至人类文明发展史上具有划时代的意义。我在殷墟工作多年,认识详情>>
原标题:《新闻调查》 20191130 发现甲骨文 今天我们使用的汉字是在漫长历史中逐渐发展演变过来的,多年来的考古发掘证明,在史前时代,华夏先民就开始了文详情>>
原标题:甲骨文与润联科技达成战略合作 共同为企业赋能 IT时报记者 李丹琦 在日前举行的在2019甲骨文云大会上,甲骨文公司与华润集团全资子公司深圳详情>>
原标题:因为刻骨 所以铭心:在这些符号中 触摸历史的印记 央视网消息(焦点访谈):因为刻骨,所以铭心。一片甲骨,一些符号,就让今天的我们触摸到了3000多年前的详情>>
原标题:国产数据库迎来大风口,专家称三五年内有望取代甲骨文 经济观察网 记者 任晓宁 继国外的亚马逊大张旗鼓宣布关掉自有业务使用的甲骨文数据库详情>>
原标题:沉重的隐喻:甲骨文发现第一人之死 1900年,人类进入新世纪,但世界并不太平,西方列强在忙着瓜分世界,东方的中国,还没有走出甲午海战失利的阴影,处在戊戌详情>>
新华社郑州11月2日消息,甲骨文发现120周年之际,一场引人关注的纪念活动在北京人民大会堂举行。 “今山川效灵,三千年而一泄其密,且适我之生,所以谋流传而悠远之,我之责也。”一个详情>>
原标题:习近平致信祝贺甲骨文发现和研究120周年强调 坚定文化自信 促进文明交流互鉴 央视网消息(新闻联播):中共中央总书记、国家主席、中央军委主席详情>>
原标题:习近平致信祝贺甲骨文发现和研究120周年: 坚定文化自信 促进文明交流互鉴 习近平致信祝贺甲骨文发现和研究120周年强调 坚定文化自信 促进详情>>
    般无咎全甲刻辞 国博供图    宰丰骨匕记事刻辞 国博供图    明有蚀卜骨刻辞 国博供图&#详情>>
原标题:甲骨文精品汇国博 今年是发现甲骨文120周年。10月22日,“证古泽今——甲骨文文化展”在中国国家博物馆开幕,从文字的视角,呈现博大精深的中华详情>>
原标题:甲骨文文化展开展 本报北京10月22日电(记者张烁、王珏)在甲骨文发现120周年之际,“证古泽今——甲骨文文化展”22日在国家博物馆开展。近190详情>>
原标题:甲骨学研究进入智能化时代 甲骨学研究进入智能化时代 新华社郑州10月18日电(记者桂娟 韩朝阳)18日上午,“殷契文渊”甲骨文大数据平台在甲骨文详情>>
【编者按】今年是二里头遗址调查发掘60周年,“二里头文化”命名及“二里头文化是夏文化”学说提出42周年。在二里头夏都遗址博物馆开馆之际,澎湃新闻(www.thepaper.cn)专访了夏详情>>
今年是甲骨文发现120周年。从20世纪初到现在,一代又一代的学者们将甲骨文研究接续传承,并让这门古老的学问不断推出新的成果。但即便如此,甲骨文破译之路依然无比漫长。 资料图详情>>
记者15日从中国国家博物馆获悉,为纪念甲骨文发现120周年,“证古泽今——甲骨文文化展”将于22日亮相国博,首次大规模展示馆藏甲骨。详情>>
新华社北京10月15日消息 教育部15日在新闻通气会上介绍,教育部将联合中央宣传部、文化和旅游部、科技部等多部门,共同举办甲骨文发现120周年系列纪念活动,这是甲骨文发现以来首详情>>
原标题:甲骨文公司仍将对“联合企业国防基础设施云计算” 合同提起上诉 [据GCN网站2019年8月27日报道] 7月,美国联邦法院驳回了甲骨文公司对“详情>>
8月8日,2019甲骨文数据库云大会举行,神州数码集团董事长兼总裁郭为应邀出席,并在高峰论坛环节分享了参与中国信息化建设30年的思考,并与甲骨文公司高级副总裁及亚洲区董事总详情>>
日前,美国软件巨头甲骨文突然在中国宣布大规模裁员,引发业内关注。据悉这次裁员,甲骨文在中国有研发中心的城市均有涉及,包括北京、上海、苏州、深圳、大连等。首批将裁员约900详情>>
5月7日消息,多位甲骨文中国员工确认,甲骨文今日上午召开全员大会,正式敲定了中国研发中心裁员调整一事。大会结束后,甲骨文中国立即开始对所涉员工进行一对一面谈。 “我9:55参详情>>
甲骨文执行董事长兼首席技术官LarryEllison去年在OracleOpenWorld首次介绍了公司的自主数据库。该公司后来推出了一个自动数据仓库。今天,随着Oracle的ATP服务的推出详情>>
小编为您搜罗的答案:作为全球500强的IT公司,甲骨文的工作环境还是不错的。有茶点,现磨咖啡。每个月不定时的发点水果零食什么的。每天下班还有各种socialclub的活动,上下班不用打卡,时间自由详情>>
全国首个甲骨文创新中心花落郑州,意味着河南的大数据产业,有了跃上新高度的新支点,也为我们打造河南创新升级版,按下了快捷键。□本报评论员丁新伟8月14日,郑州郑东新区管委会发布消息,甲骨文数据库云大会详情>>
闻名中外的商代甲骨文,是中国最早的文字。甲骨文字,目前发现的有四千多个。经历史学家和古文字学家考释出来的将近一半。甲骨文字的造字方法已是多种多样,不但有... 详情>>
小编为您搜罗的答案:你说的没错oracle在英语中确实是神谕的意思,但是oracle是甲骨文的英文翻译的第一个单词,全称是oracleboneinscriptions因此oracle公司又叫甲骨详情>>
Oracle希望通过其新发布的开源项目GraphPipe解决机器学习问题。该项目是一个“简单的机器学习模型服务”解决方案。Oracle的云开发架构师VishAbrams表示,“过去几年来,机器学习详情>>
本周二甲骨文发布了7月份的重要补丁更新(CPU),此次关键补丁更新解决了334个安全漏洞(包括61个评级严重的漏洞),涵盖了大量甲骨文企业组合产品。升级补丁的334个漏洞中,61个被评为严重,CVS详情>>
8月2日,甲骨文数据库云大会连续5年在北京举行。这5年是云技术兴起的5年,也是甲骨文从全球最大的数据库供应商向云服务供应商转变的5年。今年大会进一步聚焦甲骨文最新企业级自治数据库及云解决方案,立足云详情>>
1.质量:2017年,我国的发明专利申请量为138.2万件,申请中委托专利代理机构代为进行的专利申请数量大致占到70%,专利代理机构的专利代理质详情>>
AtlatlSoftware以其为制造商生产3D和增强现实(AR)软件而闻名。该公司现在正与Oracle合作为Oracle客户提供Atlatl的可视化产品。Atlatl的软件将与Oracle的CPQ详情>>
原标题:甲骨文本月推出区块链平台丨蛙游网据外媒报道,甲骨文将于本月推出平台类区块链产品,成为最新加入区块链产业的软件大咖公司。甲骨文的产品开发总监Thomas详情>>
甲骨文球馆是NBA金州勇士队的主场,而NALCS中的GGS战队也是金州勇士队旗下的战队详情>>
将占卜的结果刻在甲骨上被称什么?倩女幽魂手游科举答题将占卜的结果刻在甲骨上被称什么?不要急小编为大家分享答案,快来看看吧!如您是倩女幽魂手游忠实玩家,我们还为您提供了方便好用的题库和答详情>>
